infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

旅行代理店JTBの情報漏洩に見る、個人情報と定期セキュリティ点検の重要性

大手旅行代理店JTBへ不正アクセス、情報漏洩の可能性

本日、大規模な情報漏洩事件がありました。それがこちら。

JTBは6月14日、顧客の個人情報約793万人分が流出した可能性があると発表した。グループ会社のサーバに不正アクセスがあり、個人情報を含むデータファイルにアクセスされた形跡があるという。

http://headlines.yahoo.co.jp/hl?a=20160614-00000099-zdn_mkt-bus_all

JTBといえば桑田佳祐さんの曲が爽やかなCMで有名ですね。あと私は武井咲の大ファンです。関係ないですけど。

そんな大手広告代理店が、不正アクセスを受けたわけです。

スポンサーリンク

 

 

なぜ情報漏洩が起きてしまったのか?

JTBの公式発表によれば、コンピューターウイルスの感染経路はとてもオーソドックスなものでした。

今年の3月にJTBが取引先を装ったメールの添付を開いてしまい、ウイルスに感染。その時点での早期発見はできなかったようです。その後、不審なアクセスが数回あった模様。

専門家を交え不正アクセスの手口や被害などを調査した結果、個人情報が漏洩している可能性があると判断。今回の声明に至ったようです。

 

それにしてもメールの添付を開くという、あまりにも古典的なやり方にひっかかっています。

ITセキュリティを強化するといっても、まずは意識改革から始めるべきでしょう。検知システム以前の問題です。

大企業などではこういった偽装メールなどを従業員にテストで送付し、仮想被害を確認したりしています。それでも添付を開く人は0になりません。

いつまでたっても古典的な標的型攻撃が無くならない理由がわかりますね。

どういう情報が漏洩したの?

不正アクセスした侵入者はあるデータを作成し、その後削除していたことがわかっています。そのデータに、800万人弱の個人情報が含まれていたというのです。

含まれていた情報は氏名や性別、電話番号などからパスポート番号のようなセンシティブなものも。幸いながら金融情報は漏洩していないようです。

 

しかし、最初の攻撃から個人情報漏洩の公開まで実に3ヶ月かかっています。なぜもう少し早い開示ができなかったのか。

ゴールデンウィークへの影響を懸念したのではないか、と邪推してしまうようなタイミングです。

個人情報が漏洩してなぜ問題なの?

氏名や性別が漏れてしまったところで何が問題なんだと思う方もいるかもしれません。電話番号だってそこまで深刻ではない、と考えているかもしれません。

氏名ぐらいなら問題ないかも知れませんが、電話番号やメールアドレス、住所などは安心していられません。

 

今回の例では、メールアドレスと、生年月日や性別などが漏れています。この時点ですでにメールアカウントへの不正アクセスの危険性があります。 

メールアドレスが漏洩していれば、同様の偽装メールや迷惑メールなどが多数届くことになります。

 

綺麗なはずだったメールアカウントに多数の迷惑メールが紛れ込むようになったら、情報漏洩を疑ったほうが良いでしょう。

その迷惑メールを開いてしまい、新たなウイルスに感染する。二次被害へとつながるわけです。

 

他にも住所などを名簿業者に売られて悪質な訪問セールスを受けることになったり、犯罪に電話番号が悪用されるかも知れません。

クレジットカードのような金融情報が漏れていないからといって楽観視することはできないのです。

迷惑メールなどの手口は、以下の記事でまとめていますのでご一読いただき、注意しましょう。

 

職場に届くメールの対策はこちら:

個人用のメールアカウントの対策はこちら:

個人情報漏洩対策って、不可能じゃない?

個人がどこまで情報セキュリティ意識を高めたところで、利用している企業のセキュリティレベルが低ければ無駄だと思うかも知れません。

それはある意味では正しい主張です。鎖の強度はもっとも弱い輪で決まるという言葉は情報セキュリティにも当てはまります。

 

だからといって、個人が情報セキュリティを気にしなくていいわけではありません。プライベートな写真など、個人からの情報漏洩は被害が大きくなりやすいからです。

まずは己の情報セキュリティへの意識を高めて、適切なセキュリティ対策を行うことが大前提です。当ブログではその手助けとなる記事をいくつか書いていますので、合わせてお読みいただければ幸いです。

 

この手の情報漏洩は個人ではどうしようもない部分があります。そのため、自分の情報が漏れたのち、考えられる最悪のケースを意識することも大切です。

例えば、自分のメールアドレスが生年月日などとともに流出したなどといった場合。

すぐにメールアカウントのパスワードを変更し、ログイン履歴を監視して不正なアクセスがないか確認する。

二段階認証が可能であれば導入する。大規模な漏洩事件のあとは普段以上に迷惑メールなどに気をつける。添付は開かないよう徹底する。

 

他にも電話番号が漏れてしまった場合はその電話番号で検索をかけて何か悪用された形跡がないか調べる。不審な着信は受けずに着信拒否を行う。などといった対策を行っていくべきです。

 

今回のケースではパスポート番号が流出しましたが、幸いパスポート番号そのもので何か大きな問題が起きるとは考えにくいです。

しかし、氏名や住所などと合わされば旅行券のいたずら予約などが起きる可能性もあるでしょう。

 

このような大規模な情報漏洩事件が起きた際には、身の回りのセキュリティを見直す良い機会だと思ってセキュリティの点検を行なっていきましょう。

情報セキュリティは、病気の予防と治療と同じです。水際で食い止める術と、漏れてしまった場合の事後対策・監視が肝要です。

 

スポンサーリンク